Nick Security Log

securityを始めとしたNickのブログです

1年間バグバウンティやって学んだこと(ほぼ技術面以外)

f:id:NickShadows:20200428223012j:plain なんだかんだ1年くらいバグバウンティやってきたのでそこらで学んだことまとめです。

技術的なことは書けるほど習得できなかったので、取り組み方とかがメインです。

結果は求めないのが良い

バグバウンティは報酬としてお金とかポイントとかもらえます。
わかりやすく結果が残るのでそれを目指してやってました。

これそのものは間違っていないとは思うのですが、技術が拙いうちに結果を求めるのは微妙でした。

診断と違って複数人で行い、かつ早いもの勝ちなので、簡単なものは速攻見つけられてしまいます。
私の技術力は簡単なものを見つけるくらいしかなかったので、運が良いときくらいしかバグを見つけられませんでした。

何も見つけられないのは、精神的にとても辛かったです。
結果が出る出ないの0か1かなので、何も成果が無いも同然でした。

結果を出すのを諦め、技術を求めるようになってからは気が楽になりました。
バグハントを楽しむことができ、視野も広がった気がします。

この考え方は海外のバグハンターの方に多いです。
mediumなどでは、メンタルケアに関するものが月1くらいで出てきます。

私も知識としては知っていましたが、実感するまでわかりませんでした。
技術を求めましょう。

他人と比較しない

情報収集がてらTwitterを見ていると、賞金をゲットしましたやら、CVEを取りましたやら、LTに出ましたやらいろいろな報告を見ることが多かったです。

それを自分と比べてしまい、「なぜ自分は出来ないのか?」と考えてしまうことが多かったです。
それで「結果を求める」ことにつながったりしてしまいました。

結局は「結果を求めない」ことにつながってしまうのですが、その手前の「比較する」ということも精神には良くなかったです。

羨ましいなどの気持ちを抑えるのに体力というか、精神力を使ってしまっていました。
これに気づいたのは、他人との比較をやめてからです。

具体的な方法としては、Twitterを見るのを辞めました。
全部見るのを辞めたわけではなく、有識者の方や海外のバグハンターを中心に見ています。
日常について語る人は全て見ていません。

交流はdiscordのグループでやろうと思っています。
不思議なことに、グループの方が「こういうことが出来ました!」と発言しても、羨ましいとは思わず、素直にすごいと思えます。
この違いはなんなんでしょうね。

他人と比較していて、良いことは無かったです。

簡単な脆弱性が自分に合うとは限らない

これも結果を求めていたからなのですが、バグハントしているときにXSSやIDORを中心に探していました。

ですが、探す作業は長続きしませんでした。
なぜかとずっと考えていたのですが、単純にXSSを探すのが好きじゃないんですね。
なんで好きじゃないかはわかっていません。

XSSを選んだ理由は検出数が多く、初心者だといろんなところで書いてあったからです。
ですが、私には合いませんでした。

そこで、何が自分に合っているんだろうと思って脆弱性を漁っていたところ、幸か不幸かRCEがとても楽しいとわかりました。

RCEは検出するのがとても難しく、初心者が取り組むとまず結果が出ないことは明白なものでした。
ですが、私にとっては楽しく、学習を継続してやることができました。

RCEにつながるCVEの検証も楽しく行え、「どうやったらバグハントで検出できるか?」を考えるようになりました。

私にとっては、初心者向きのXSSが向いていなく、RCEが向いていたようです。
誰にでもわかる結果は出ていませんが、私は楽しく学習が出来ています。

合う脆弱性は人それぞれ。

出来ないときはできない

自分に出来ることをやる、という話ではなく、時間帯の話です。

私は夕方の17時以降に頭が働かなくなり、ぼーっとするしかできなくなります。
自由時間3~4時間を無駄にしてしまうと考え、なにか出来ないかいろいろ試しました。

結果、何も出来ませんでした。
本は頭に入ってきませんでした。
動画はすぐに眠くなりました。
バグハントは画面を眺めているだけでした。

コーヒーを飲んだり、瞑想をしたりしましたが、どれも効果はありませんでした。
運良く「出来たか!?これか?」と思っても、次の日の朝起きられなかったり、土日にぼけっとしてしまったりとどこかで回収がありました。

無理なものは無理だとわかりました。
今は試しているうちに娯楽として効果があった漫画やゲーム、瞑想をしています。
こころがよく動き、毎日が楽しくなりました。

出来ないときは諦めましょう。

BGM聴くのにヘッドホンは邪魔

作業中のBGMを聴くのにヘッドホンは邪魔でした。

以前は歌詞付きの曲がだめなのかと思い、クラシックやらを試したりしました。
それも効果がなく、BGM自体がだめなのかと思って無音にしたのですが、それはそれで気が滅入りました。

どうしたものかなと思っていましたが、単純にヘッドホンが問題でした。
耳元で音を叩きつけられると、集中が削がれて疲れます。

スピーカーにしたら快適に取り組めるようになりました。
また、歌詞付きの曲はやっぱり微妙だったのでゲームのサントラを聴いたりしてます。

ヘッドホンの使用はは休憩のみ。

終わりに

最近取り組み面で考えることが多いのでまとめてみました。
これが効率にどう影響するかはわかりませんが、少なくとも毎日が楽しくなりました。

他人と比較もしないので、自分が楽しめればそれで満足となります。

まずはこれでゆったり技術を高めながら結果が出るのを待とうと思います。

結果が出たら、技術面などをうまく共有していければと思っています。
時間はかかると思いますが、よろしくお願いします。